Yo creo que es bastante seguro el tener la contraseña en un archivo que tenga extención ASP. Claro, al menos que el servidor sea de tu propiedad y la única persona que meta mano en él seas vos, siempre habrá alguien que tenga acceso a los fuentes y por consiguiente a la contraseña.

Aunque me parece que en este caso lo mejor es codificar la contraseña mediante algún algoritmo de encriptación como MD5 y listo, por más que alguien pueda ver el fuente del ASP, no va a poder entrar sin saber la contraseña que lo desencripta.